E安全2月5日訊,據外媒報道,近日,有安全研究人員發現黑客組織正在利用社交網絡Twitter的應用程序編程接口(API)將用戶名與電話號碼進行匹配。 Twitter的安全人員注意到,其中大量的API請求均來自以色列、伊朗和馬來西亞的互聯網協議地址。
Twitter懷疑,進行此次操作的黑客組織可能與部分國家政府有直接關係。
據瞭解,一位名叫Ibrahim Balic的安全研究人員,此前曾在兩個月內通過利用Twitter Android應用中的一個漏洞成功的將1700萬個電話號碼跟Twitter用戶的賬號戶進行匹配,直到Twitter阻止了API查詢。
為了避免被Twitter拒絕,Balic在兩個月的時間裡使用了約20億個訂單混合的電話號碼,與Twitter用戶的1700萬個電話號碼相匹配。用戶分佈在以色列、土耳其、伊朗、希臘、亞美尼亞、法國和德國。
雖然與Twitter賬戶匹配電話號碼似乎一開始並不是一個嚴重的問題,但Balic在發現此漏洞後並沒有及時上報給Twitter,而是私自使用該漏洞,將幾位知名政治家和官員的私人電話與Twitter賬戶匹配,併成立了WhatsApp小組以直接對Twitter發出警告,後者才開始重視此漏洞。
事後,鑑於Balic的過程不涉及惡意代碼或其他形式的黑客攻擊,而是簡單地使用現有的Twitter功能。因此,沒有被做出任何處分。
目前,Twitter還並未透露黑客在此次攻擊使用了多少假帳戶以及目標用戶的具體數量。雖然已為數據洩漏道歉,但並未表示將聯繫受其影響的人。
分享到:
閱讀更多 E安全 的文章
